Os aplicativos de condicionamento físico são um risco para sua privacidade, eis por que

Esta publicação foi atualizada em 31 de outubro de 2019.


Os aplicativos de condicionamento físico e saúde foram projetados para ajudá-lo a registrar e quantificar quanto você se exercita, quais medicamentos prescritos toma e até quais métodos de controle de natalidade você usa. Embora esses aplicativos possam ajudar a melhorar sua saúde, eles também podem colocar sua privacidade em risco. Nos piores casos, eles colocam as pessoas em perigo físico, como revelar os endereços residenciais dos corredores e a localização em tempo real.

Muitos desses aplicativos expõem informações confidenciais ou as compartilham com dezenas de terceiros, incluindo o Facebook, sem fornecer aos usuários todos os detalhes em sua política de privacidade. Essas informações podem incluir dados confidenciais de localização, dados médicos confidenciais ou mesmo informações altamente pessoais, como se você está ou não fazendo sexo sem proteção.

Esses tipos de aplicativos explodiram em popularidade nos últimos cinco anos. Em 2018, somente a Fitbit tinha mais de 27 milhões de usuários. No início deste ano, o Strava afirmou ter 42 milhões de usuários – e que estava adicionando um milhão de usuários por mês. Dados os dados sigilosos coletados por esses aplicativos e seu baixo registro de proteção desses dados, esses aplicativos representam uma ameaça substancial à privacidade de seus usuários..

O que os aplicativos de fitness sabem sobre você

A maioria dos aplicativos de fitness, como Fitbit, Strava, MapMyRun, Nike + Run e Asics Runkeeper, só para citar alguns, possui um dispositivo vestível que sincroniza com o seu smartphone. Esse dispositivo vestível pode coletar um grande número de informações, incluindo o número de etapas que você executa, sua frequência cardíaca, onde você viaja e quando, seu peso e quando está acordado ou dormindo.

Rastreadores de integridade geralmente são aplicativos que você instala no seu telefone. Eles contam com você para preencher formulários sobre sua saúde para coleta de dados. Dependendo do objetivo do aplicativo, ele pode variar de perguntas padrão sobre sua saúde (você está ferido?) A perguntas sobre tópicos bastante sensíveis (você usa proteção quando faz sexo?).

Esses dados podem ser violados

Os fabricantes de aplicativos de fitness, como qualquer outro setor, sofreram violações de dados. A violação que atingiu o MyFitnessPal da UnderArmour em 2018 é a maior até o momento. Ele expôs os nomes de usuário, senhas e endereços de email de mais de 150 milhões de usuários. Enquanto os hackers geralmente buscam dados, eles podem gerar receita com facilidade (como o número do cartão de crédito), mas o pensamento de que os dados de localização foram expostos é especialmente problemático. Dado que corredores e ciclistas geralmente correm e andam onde moram, os atacantes também podem identificar onde o usuário morava, observando onde a maioria de suas rotas começou e terminou.

Nenhum dos outros aplicativos importantes de condicionamento físico e saúde sofreu uma grande violação de dados. Infelizmente, há pouco que você pode fazer para garantir que um aplicativo armazene seus dados com responsabilidade, além de compartilhar dados apenas com empresas e organizações em que você confia..

Saiba mais sobre o que fazer se você for vítima de uma violação de dados.

A mina de dados definitiva

O compartilhamento de dados é o cerne da questão. As empresas de aplicativos de fitness geralmente são incentivadas a compartilhar seus valiosos dados de saúde em tempo real com terceiros, sejam anunciantes, escritórios de advocacia ou redes sociais como o Facebook, que lucram com suas informações confidenciais. Se eles forem totalmente transparentes sobre como seus dados foram compartilhados ou como ajustar suas configurações de privacidade, é mais provável que os usuários confiem nos aplicativos. É por isso que, até o momento, a indústria de aplicativos de fitness e saúde foi perseguida por escândalos.

Há muitos motivos válidos para um aplicativo compartilhar dados. Isso pode levar a um melhor serviço que o usuário deseja. Também pode ser exigido por lei para investigações policiais. Mas os fabricantes de aplicativos nem sempre tratam a privacidade de suas informações confidenciais como uma prioridade.

Existem três maneiras principais pelas quais os aplicativos de fitness e saúde abusam de seus dados:

  1. Eles expõem automaticamente os dados imediatamente. Se os usuários quiserem usar esses aplicativos e proteger sua privacidade, eles deverão atualizar as configurações de privacidade no aplicativo ou no smartphone, o que poucos usuários fazem.
  2. Suas políticas de privacidade são vagas. Uma política de privacidade que declara: “Podemos compartilhar suas informações com nossos patrocinadores e / ou parceiros de negócios”, não fornece ao usuário informações suficientes para tomar uma decisão informada.
  3. Suas políticas de privacidade são enganosas. Em alguns casos, os aplicativos não divulgam como os dados são usados ​​em sua política de privacidade. Eles escondem isso em um documento separado ou disfarçam em juridicamente confusos. Outros aplicativos de saúde menores podem não ter uma política de privacidade.

Configurações de privacidade padrão fracas

Um excelente exemplo do primeiro problema é o aplicativo de fitness Strava e seu recurso Beacon, que trai a localização em tempo real de motociclistas e corredores. Isso tornou o aplicativo uma mina de ouro para ladrões.

Aqui está como isso funciona. O Strava combina o rastreamento de condicionamento físico com uma plataforma de mídia social que permite que seus usuários competam e interajam. Para o Strava funcionar, ele precisa de acesso e permissão para compartilhar seus dados de localização. Ele também possui um recurso “FlyBy”, que permite procurar outros usuários do Strava que você viu ou passou durante sua execução.

No entanto, você não precisa ser um usuário do Strava para acessar a plataforma ou procurar rotas. Depois que uma rota é selecionada, você pode descobrir a quem pertence, olhar para o perfil dessa pessoa e ver para onde mais eles provavelmente correrão. Esses dados geralmente podem ser usados ​​para localizar as casas das pessoas. Esse problema também está presente em menor grau para o MapMyRun, Nike + Run e qualquer aplicativo que rastreie suas corridas e permita que você compartilhe esses dados.

Embora a mídia fixada em bases militares seja exposta pelas rotas de corrida dos soldados com o recurso “HeatMap” do Strava, esses dados podem ser usados ​​para encontrar e seguir qualquer usuário do Strava.

O vazamento de dados do mapa de calor do Strava ficou muito pior:

– Os dados podem ser anonimizados
– Inclui nomes e rotas de pessoas em instalações militares de alta segurança
– Uma pesquisa rápida mostra os nomes de 50 funcionários dos EUA em uma base no Afeganistão
https://t.co/JZCi7sINf8

– WIRED UK (@WiredUK) 29 de janeiro de 2018

Em 2014, a polícia atribuiu um aumento acentuado no roubo de bicicletas no Reino Unido a ladrões usando dados Strava. A mesma coisa aconteceu novamente em 2018.

“Acho que muitas pessoas não estavam cientes de que esses aplicativos de mapeamento podem basicamente fornecer uma quantidade enorme de informações a um possível ladrão. Portanto, precisamos que as pessoas verifiquem sua privacidade ”, disse Adam Lang, policial que investigou roubos de bicicletas em 2018.

Strava vem com controles de privacidade. Infelizmente, poucos usuários os ativam e são necessárias apenas algumas execuções para expor a localização da sua casa. Além disso, a ativação de alguns dos recursos de privacidade, como desativar o recurso “FlyBy”, prejudica a usabilidade do aplicativo.

Políticas de privacidade vagas

O exemplo acima – “Podemos compartilhar suas informações com nossos patrocinadores e / ou parceiros de negócios” – não é hipotético. Ele vem da política de privacidade do rastreador de ovulação Maya, que afirma ter mais de oito milhões de usuários em todo o mundo. Essas informações não são suficientes para um usuário dar seu consentimento informado. Em nenhum lugar da política do Maya eles listam o tipo de dados que compartilham ou com quais organizações os compartilham.

Isso é especialmente preocupante, considerando o tipo de dados que o Maya coleta, que inclui informações sobre seu humor, que tipo de contracepção você está usando, se está fazendo sexo e se está usando proteção. Um relatório da Privacy International expôs a política vaga e o fato de o Maya estar compartilhando dados com vários terceiros, incluindo o Facebook. O relatório também destacou o rastreador de ovulação MIA Fem. O MIA Fem tinha uma política de privacidade igualmente vaga, mas a atualizou para refletir quais dados vão para quais parceiros. É apenas o aplicativo de saúde mais recente para ajustar sua política de privacidade após ser pego compartilhando dados sem informar seus usuários.

O aplicativo rastreador de ovulação Flo parou de compartilhar dados com o Facebook depois que uma história do Wall Street Journal expôs o compartilhamento de dados semelhantes sem consentimento. (Uma coisa que Flo, Maya e MIA Fem têm em comum é que eles foram criados com o Software Development Kit (SDK) do Facebook, que permite que os desenvolvedores incorporem recursos e permitam que o Facebook colete dados do usuário para exibir anúncios direcionados. O SDK do Facebook foi no centro de muitas outras violações da privacidade.)

Políticas de privacidade enganosas

O HealthEngine é um aplicativo popular na Austrália, usado por mais de 1,5 milhão de pessoas para agendar consultas médicas. Uma investigação recente descobriu que o aplicativo compartilhava as informações médicas privadas de seus usuários com advogados de lesões locais sem o consentimento deles..

Os usuários foram questionados se haviam se envolvido em um acidente de carro ou sofreram ferimentos relacionados ao trabalho. Se eles responderam que sim, o aplicativo notificou os advogados de lesões sobre os detalhes de seus problemas de saúde. Em nenhum momento foi perguntado aos usuários se eles consentiram em compartilhar seus dados com advogados, nem houve menção de que seus dados foram compartilhados com advogados na política de privacidade da HealthEngine. O fato de seus dados médicos particulares serem enviados a um escritório de advocacia foi revelado apenas em uma “Declaração de cobrança” separada. A única maneira de os usuários optarem por não compartilhar esse compartilhamento de dados era não usar o aplicativo.

Nos EUA, os aplicativos de saúde Cardiio e My Baby’s Beat e o aplicativo de fitness Runtastic estão sendo forçados a revisar suas políticas de privacidade depois que o Procurador Geral de Nova York disse que estava compartilhando dados com terceiros sem consentimento claro.

O que você deve fazer para proteger sua privacidade

Pode ser surpreendente que seja legal os aplicativos compartilharem as informações médicas das pessoas tão amplamente. Mas a lei de privacidade em saúde dos EUA, HIPAA, não se aplica a informações que os clientes coletam para seu próprio uso. Isso significa que, na maioria dos casos, os aplicativos de condicionamento físico não se enquadram no regulamento.

Novas regulamentações nos EUA que visam especificamente aplicativos de condicionamento físico e saúde podem incentivar os desenvolvedores a serem mais responsáveis ​​com dados confidenciais, mas até agora não houve nenhum progresso. Os esforços dos senadores dos EUA para impedir a venda de dados privados de saúde a seguradoras, financiadores de hipotecas e empregadores não levaram a lugar algum.

O GDPR da UE fornece alguma proteção, pois requer consentimento informado e inequívoco antes que os dados possam ser compartilhados. Esse é um limite que o Maya provavelmente está violando, uma vez que não lista todos os dados que compartilha ou que recebe os dados em sua política de privacidade. Mas isso só se aplica a indivíduos que vivem na União Europeia.

A melhor maneira de permanecer privado enquanto usa aplicativos de rastreamento de fitness ou monitoramento de saúde é resolver os problemas por conta própria.

Estas são as etapas mais importantes que você pode executar para se manter seguro:

  1. Leia a política de privacidade: Se não estiver explícito sobre quais dados ele compartilha e com quais organizações ele compartilha, suponha que todos os dados inseridos nesse aplicativo possam ser compartilhados com qualquer número desconhecido de terceiros. Se você não se sentir confortável com isso, encontre outro aplicativo.
  2. Verifique se existem configurações de privacidade: Reserve um tempo para verificar as configurações de privacidade. Impedir que o aplicativo compartilhe seus dados é bom, mas a solução mais privada é impedir que ele colete dados em primeiro lugar.
  3. Limite os dados inseridos no aplicativo: Muitos desses aplicativos coletam mais dados do que o necessário para cumprir sua função principal. Pergunte se você precisa compartilhar esses dados para usar o aplicativo. Por exemplo, não há razão para um rastreador de ovulação precisar saber se você está fazendo sexo desprotegido para que ele funcione.
  4. Em caso de dúvida, pergunte: Se você não tem certeza de como uma empresa de aplicativos de fitness planeja usar seus dados, envie um e-mail e pergunte. (E se o fizer, deixe-nos saber o que eles dizem!)

Os aplicativos de condicionamento físico e saúde são ótimas ferramentas que podem ajudar a motivá-lo a manter a forma e acompanhar seu progresso. Mas você não deve colocar em risco sua saúde digital em prol da sua saúde física. É importante estar ciente de que os aplicativos que você baixa podem colocar sua privacidade em risco.

Cumprimentos,
A equipe ProtonVPN

ATUALIZAÇÃO 1 de novembro de 2019: O Google anunciou que compraria o Fitbit por US $ 2,1 bilhões. Isso aumenta a possibilidade de o Google acessar os dados de saúde do Fitbit para publicidade, mas os executivos do Google disseram que esse não será o caso. Em um e-mail para os clientes, o CEO da Fitbit escreveu: “Nós nunca vendemos suas informações pessoais, e os dados de saúde e bem-estar da Fitbit não serão usados ​​para anúncios do Google”. Espera-se que o acordo seja finalizado no próximo ano.

Twitter | Facebook | Reddit | Instagram

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map